Slutsatser - Forensisk undersökning av Amazon Kindle

Data kan extraheras från de tre modeller av Amazon Kindle som undersökts genom installation av ett jailbreak och en programvara som tillåter fjärråtkomst via dess USB-gränssnitt, följt av att avbilder skickas till den undersökande datorn med hjälp av Netcat och dd. På Paperwhite 2 med firmware-version 5.6 och uppåt är detta dock ej möjligt och därför har en metod för att extrahera enhetens partitioner via ett seriellt gränssnitt presenterats. Det är även möjligt att ta en avbild på endast en av enhetens partitioner genom en diskavbildningsprogramvara, så som FTK Imager som har använts i detta arbete.

Arbetet visar att en Amazon Kindle kan innehålla information som är av forensiskt intresse, i form av anteckningar, webbsidehistorik och dokument. Utöver detta innehåller de undersökta modellerna omfattande nätverksloggar och kan dessutom brukas som USB-masslagringsenhet, vilket innebär att vilka filer som helst kan läggas på dem.

Samtliga enheter har varit uppdelade i fyra partitioner, som är av skiftande forensiskt intresse. Den första systempartitionen innehåller inte något av större intresse mer än enhetens firmware-version. Den andra partitionen, som även den är bootbar, fungerar som återställnings- och diagnospartition och har inte innehållit någon information som varit av intresse för en undersökning i de analyser som gjorts. Den tredje partitionen innehåller bland annat loggar, sparade krypterade nätverk, information om enhetens användare samt lösenordsinformation. Den fjärde partitionen fungerar som USB-masslagringsenhet när enheterna ansluts till en dator och är därmed tillgänglig för användaren utan att någon privilegie-eskalering utförs. Det är här som samtliga böcker, tidningar och dokument lagras, men även anteckningar som gjorts och sådant som strukits under eller slagits upp i ordlistan. I fjärde partitionens ej allokerade utrymme finns information om enheten så som serienummer och MAC-adress, bortsett från Paperwhite 2 där endast serienumret kunnat hittas.

Undersökningarna har visat att det finns såväl skillnader som likheter mellan var data finns lagrad och vilka data som kan återfinnas på de olika enheterna. Utöver skillnaderna mellan fjärde, femte och sjätte generationens enheter som undersökts i detta arbete kan det även konstateras att dessa i sin tur skiljer sig mot tidigare undersökning gjord på tredje generationen. Detta i kombination med de användardata som finns på enheterna gör att de inte bör hanteras som vanliga USB-minnen utan det bör tas i beaktning att det är enheter med operativsystem som lagrar data på specifika platser. Det är alltså viktigt att veta var de data som är av intresse finnas lagrade och att ha kunskap om vilka förutsättningar som finns för de olika enheterna.

När det gäller huruvida det är tillräckligt med en analys på endast det minne som är tillgängligt för användaren eller om en avbild bör tas på det fullständiga minnet genom att skapa åtkomst med root-privilegier, så måste en avvägning göras. Att skriva till en enhet som en undersökning skall genomföras på är aldrig önskvärt om det går att undvika. Klart är dock att man går miste om vissa delar och att det är en resultatmässig skillnad mellan de olika metoderna.

8.1 Generella slutsatser

Den forskningsansats som har använts i arbetet för att kunna tillämpa en metod för att undersöka vilka typer av data en Kindle kan innehålla och var denna information lagras bör kunna tillämpas även på andra ännu outforskade mobila enheter. På så vis kan mallar skapas för hur en enhets minne inhämtas, var data bör eftersökas, vilka platser som är av särskilt intresse och vilken typ av information som troligen inte kommer kunna hittas. En malls syfte kan alltså bli att fungera som en standardisering för hur just den specifika enheten bör undersökas.

8.2 Framtida forskning

Med tanke på att de olika modeller som har undersökts skiljer sig åt sinsemellan går det inte att dra några slutsatser kring övriga modeller. I detta arbete har en modell ur vardera generationen 4, 5 och 6 undersökts. Tredje generationen har undersökts i ett tidigare publicerat arbete [29]. Övriga modeller har ännu ej undersökts vilket vore av intresse för att skapa en komplett kunskapsbank om Amazon Kindle. Det vore även av intresse att undersöka de olika modellernas 3G-versioner, främst för att se om någon form av loggar över vilka mobila master som enheten varit ansluten till existerar.

Utöver ovanstående vore det av intresse att undersöka hur och om andra modeller kan anslutas till med det seriella gränssnitt som i detta arbete anslöts till på en Kindle Paperwhite 2. Detta är främst intressant på de två modeller som ingår i senaste generationen då någon annan metod för att tillgodogöra sig hela minnesarean på dessa inte har hittats, men även på andra modeller för att kunna bidra med information om hur kodlåset kan förbipasseras på dessa.

Kring de upptäckter som gjorts i detta arbete lämnas några saker obesvarade. Exempelvis vore det intressant att undersöka möjligheterna att dekryptera den fil som innehåller sparad information om trådlösa nätverk samt den fil som innehåller kodlåset. Även om det går att

passera så är det tänkbart att den kod som används kan ha använts till andra digitala enheter som är en del av utredningen. Vidare vore det värdefullt att ytterligare undersöka möjligheterna att hitta spår av det Facebook- och Twitter-konto som lades in.

In document Forensisk undersökning av Amazon Kindle (Page 69-72)